لقد نظرت في الكود ويبدو لي أن:
authserv_idEmail::AuthenticationResults بتعيين نتيجة فشل أو نجاح، مما يؤدي إلى إجراء إما إيداع في قائمة الانتظار أو قبولlib/new_post_manager.rb - self.post_needs_approval?)هل استنتاجي صحيح؟
هل هذا يعني أن محاولات الانتحال ستنتهي على الأرجح بالمراجعة؟
نوعاً ما، سيتم إرسال هذا إلى قائمة الموافقة إذا فشل DMARC، ولكن إذا كان غائباً تماماً فسيستمر.
ربما تتمثل إحدى طرق المضي قدماً في إضافة إعداد موقع صريح يقول أساساً “عامل الموقع يقبل المخاطر” وإذا تم تمكينه يسمح بالتعيين بناءً على البريد الإلكتروني.
أنا مرتبك بعض الشيء بشأن النقاش حول الخطأ مقابل السلوك المقصود. الطريقة التي فسرت بها هي أنه لأسباب أمنية، لا يُسمح بإنشاء مواضيع جديدة عبر البريد الإلكتروني إذا كان عنوان البريد الإلكتروني يطابق مستخدمًا غير مرحلي موجودًا؛ هذا لأن عناوين البريد الإلكتروني يمكن تزويرها وبالتالي يمكن انتحال شخصية المستخدمين.
من المفترض أن تكون الردود مقبولة لأن العنوان يتضمن مفتاح الرد، مما يوضح أن المرسل هو المستلم لبريد إلكتروني الإشعار وبالتالي من المحتمل أن يكون المستخدم الحقيقي.
إذا كان هذا التفسير للسلوك المقصود صحيحًا، فهو يتعارض مع ما أواجهه بالفعل. إذا كان لدى المستخدم الخاص بي إذن لإنشاء في الفئة وأرسلت بريدًا إلكترونيًا من عنوان بريدي الإلكتروني المسجل إلى عنوان email_in الخاص بالفئة، فسيتم مطابقة عنوان البريد الإلكتروني مع المستخدم الخاص بي وسيتم إنشاء موضوع جديد بواسطة المستخدم الخاص بي.
يحدث هذا بغض النظر عما إذا كان accept emails from anonymous users with no accounts ممكّنًا، نظرًا لأن المستخدم الخاص بي لديه إذن الإنشاء.
يبدو الوضع الحالي كالتالي: (مع تمكين البريد الإلكتروني في anonymous users)
(ملاحظة: لم أختبر 4 الآن) مع تمكين البريد الإلكتروني في anonymous users، أتوقع أن يتصرف 3 و 4 دائمًا بنفس الطريقة. سواء تم رفض كليهما للحماية من انتحال الشخصية أو تم قبول كليهما على أساس أن المستخدم الحقيقي لا ينبغي أن يكون لديه أذونات أقل من المستخدم المجهول، فلا ينبغي أن تكون لديهم نتائج مختلفة.
الموضوع الرئيسي يدور حول الفئات المؤمنة (على سبيل المثال، فئة لا يمكن للمستخدمين المجهولين رؤيتها حتى). في هذه الحالة، سيتم رفض المستخدمين المسجلين اليوم بالتأكيد، أليس كذلك؟
نعم، كان يجب (هل كان يجب؟) قبول البريد من المستخدمين الذين تم إعدادهم/لم يتم تنشيطهم في السيناريو الأصلي الخاص بي.
لقد اختبرت هذا للتو للتأكد من السلوك على مثيلنا (متأخر 20 التزامًا، لا يمكنني رؤية أي شيء متعلق بالتغييرات). لدينا جميع المشاركات من مستخدمي مستوى الثقة 0 تتطلب الموافقة، ولم أكن متأكدًا مما إذا كان ذلك سيؤثر على المسار، لذلك قمت بتوسيع الخطوات للاختبار دون أن يتداخل ذلك.
تتعلق كل هذه الخطوات بفئة حيث تمتلك مجموعة المسؤولين إذن الرؤية/الرد/الإنشاء ولا توجد أذونات أخرى محددة، ويتم تعيين عنوان بريد إلكتروني، وتم تمكين “قبول رسائل البريد الإلكتروني من المستخدمين المجهولين الذين ليس لديهم حسابات”.
يشير “>” إلى تأثير بدلاً من إجراء.
يتم إنشاء مستخدم مسجل حديثًا، وتدخل المشاركة الجديدة في قائمة المراجعة
يتم إنشاء موضوع جديد في فئة خاصة
يتم إنشاء موضوع جديد في فئة خاصة
إذا لم يحدث ذلك، فإن إعداد “قبول رسائل البريد الإلكتروني من المستخدمين المجهولين الذين ليس لديهم حسابات” لن يكون له غرض في الفئات التي لا تحتوي على إذن “الجميع” أو “مستوى الثقة_0” مع إذن الإنشاء.
أعتقد أن هذا يعادل #4 في الموضوع الرئيسي حيث يصف الموضوع الرئيسي أن كلًا من #3 و #4 من المتوقع أن يؤدي إلى موضوع جديد، ومع ذلك فإن #4 فقط هو الذي يحدث.
مع منشوري السابق (قبل “الوضع الحالي”)، كنت أهدف في الغالب إلى مناقشة هذه النقطة بشكل عام، والتي يبدو أنها تجادل بأن #3 لا ينبغي أن تعمل لأن الطريقة التي تعمل بها حاليًا تحمي من انتحال شخصية المستخدمين.
ومع ذلك، كما وصفت في هذا المنشور، فإن هذه الحماية غير موجودة حيث يكون للمستخدم المطابق إذن الإنشاء.
لا تزال مشكلة قائمة في الإصدار 3.6.0.beta3-latest.